如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。
永远也不要写这样的代码:
String queryString = "from Item i where i.description like '" + searchString + "'";
List result = session.createQuery(queryString).list();
如果用户输入:foo' and callSomeStoredProcedure() and 'bar' = 'bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,
这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。
永远也不要把未经检查的用户输入的值直接传给数据库!
幸运的时有一个简单的机制可以避免这种错误:
JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),
如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是prepared statement,而是用普通的statment不行,我试过)。
另外,如果我们使用参数绑定,还可以提高数据库的执行效率,prepared statement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。
参数绑定有2种办法:使用positional parameter或者named parameter。
Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用named parameter的效果一样(查询字符串中使用:)。
使用named parameter
使用named parameter,我们重新写上面的查询语句:
String queryString = "from Item item where item.description like :searchString";
冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:
List result = session.createQuery(queryString)
.setString("searchString", searchString)
.list();
因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!
如果有多个参数需要被帮定,我们这样处理:
String queryString = "from Item item "
+ "where item.description like :searchString "
+ "and item.date > :minDate";
List result = session.createQuery(queryString)
.setString("searchString", searchString)
.setDate("minDate", minDate)
.list();
使用positional parameter
如果你喜欢,也可以使用positional parameter:
String queryString = "from Item item "
+ "where item.description like ? "
+ "and item.date > ?";
List result = session.createQuery(queryString)
.setString(0, searchString)
.setDate(1, minDate)
.list();
这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:
String queryString = "from Item item "
+ "where item.date > ? "
+ "and item.description like ?";
这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用named parameter方式进行参数绑定。
最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?
String userSearch = "from User u where u.username like :searchString"
+ " or u.email like :searchString";
List result = session.createQuery(userSearch)
.setString("searchString", searchString)
.list();
不要使用
为了防止SQL注入,避免使用拼凑SQL语句的方式!!!
在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(String queryString, Object value...Object value)来实现
named parameter。比如:
-
Date startTime =
new
Date();
-
Date endTime = new
Date();
-
String queryString = "from SdmsRacalertLog as log where"
+
-
" log.alertTime between :startTime and :endTime"
;
-
return
getHibernateTemplate().find(queryString, startTime, endTime);
分享到:
相关推荐
6. **使用ORM(对象关系映射)框架**:如Hibernate或Entity Framework等,它们会自动处理SQL语句的构建,通常能更好地防止SQL注入。 7. **更新和维护**:保持数据库系统和应用程序的最新状态,及时修复已知的安全...
可以配置WAF来检测和阻止SQL注入攻击,它可以根据已知的攻击模式进行过滤。 9. **定期更新与修补**: 保持数据库管理系统和应用程序框架的最新版本,及时修补已知的安全漏洞。 10. **安全编码训练**: 对开发...
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
- 使用预编译语句(PreparedStatement):这是防止SQL注入最常用的方法。预编译语句会将用户输入与SQL语句分离,确保即使输入含有恶意代码,也不会被执行。例如: ```java String query = "SELECT * FROM users ...
对于想要深入了解和防止SQL注入的人来说,这些资源可能会非常有用。 总的来说,理解SQL注入的原理和防范措施是每个IT专业人员必备的知识,特别是那些负责开发、维护Web应用和数据库安全的人员。通过学习和实践,...
SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序与数据库交互时,攻击者通过输入恶意的SQL代码,使得数据库执行非预期的操作,可能导致数据泄露、数据篡改甚至整个系统的瘫痪。这篇博客将深入探讨SQL...
SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序与数据库交互时,恶意用户通过输入特殊的SQL代码,篡改原本的查询语句,从而获取、修改、删除敏感数据或者控制系统。这种攻击方式对企业的信息安全构成...
SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序未能充分验证或清理用户输入的数据时。当恶意用户通过输入特定的SQL代码,使得数据库执行非预期的操作,就可能发生SQL注入。这种攻击可能导致数据泄露...
SQL注入是一种常见的网络安全威胁,它利用了不安全的SQL语句设计来操纵数据库。...通过深入研究SQLInner的源代码,开发者可以更好地理解和实施这些安全策略,提高应用程序的防护能力,防止SQL注入攻击。
SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序与数据库交互时,允许恶意用户通过输入含有SQL代码的参数来操纵或控制数据库。这种攻击方式可能导致数据泄露、数据篡改,甚至完全控制系统。本文件...
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时...通过上述方法,可以显著提高应用程序的防护能力,有效地防止SQL注入攻击。然而,安全是一个持续的过程,需要开发团队持续关注新的威胁,并及时更新防御策略。
不过这种方法可能不足以防御所有类型的SQL注入攻击。 5. **使用ORM框架**: 框架如Hibernate、MyBatis等,会自动处理SQL注入问题,因为它们在底层实现了参数化查询。使用这些框架能显著提高安全性,同时减少手动...
总的来说,防止SQL注入和XSS攻击是Web开发中的基础安全措施。通过理解这些攻击方式的工作原理,并在代码中实施相应的防护机制,我们可以大大降低系统被攻击的风险,保障用户数据的安全。记住,安全不是一次性的任务...
防止SQL注入的方法主要有以下几点: 1. **参数化查询**:使用预编译的SQL语句和参数,如PHP的PDO或MySQLi的预处理语句,可以确保用户输入被当作数据而非代码处理。 2. **输入验证**:对用户输入进行严格的验证,...
通过理解其原理,采取有效的预防措施,以及定期评估和更新防护策略,可以大大降低SQL注入攻击的风险。对于初学者和专业开发者来说,深入研究SQL注入的各个方面,包括入门、进阶和高级技巧,是提升系统安全性的关键...
这可以通过字符串拼接实现,但需要注意防止SQL注入攻击。 ```java String sf = "select sum(c.productid) productSum, p.cityid cityName from a_chip c, a_productboxlog p where c.u_id = p.u_id"; // ...条件...
SQL注入攻击是网络安全领域中的一个严重威胁,它发生在应用程序与数据库交互时,恶意用户通过输入特殊的SQL代码,篡改原本的查询逻辑,从而获取、修改、删除敏感数据或执行非法操作。了解SQL注入的种类和防范手段...
6. **应用防火墙(WAF)**:配置Web应用防火墙,检测并阻止SQL注入攻击。 7. **更新与维护**:保持应用程序和数据库系统的最新安全补丁,避免已知漏洞被利用。 了解并掌握SQL注入的各个方面,是保障Web应用安全的...
通过阅读和理解这段代码,开发者可以更好地掌握防止SQL注入的方法,并将其应用到自己的项目中。 总之,防止SQL注入是开发安全应用程序的重要环节。开发者应当采用预编译语句、参数化查询、输入验证等多层防御策略,...
1. **参数化查询/预编译语句(PreparedStatement)**:使用PreparedStatement代替Statement,可以有效防止SQL注入。预编译语句将SQL命令和用户输入分开,确保即使用户输入包含特殊字符,也不会被解析为SQL指令。 2....